CN112395626A

CN112395626A - 用户权限的风险评估方法、装置、计算机设备和存储介质

Info

Publication number: CN112395626A
Application number: CN202011295104.1A
Authority: CN
Inventors: 任庆
Original assignee: Ping An Puhui Enterprise Management Co Ltd
Current assignee: Ping An Puhui Enterprise Management Co Ltd
Priority date: 2020-11-18
Filing date: 2020-11-18
Publication date: 2021-02-23

Abstract

本申请涉及风险管控技术领域，揭示了一种用户权限的风险评估方法、装置、计算机设备和存储介质，其中方法包括：获取各用户权限在历史使用中产生的损失事件及损失事件造成的损失值，将各用户权限下损失事件产生的损失值进行累加，得到累计损失值，并生成各用户权限与对应累计损失值的对照表；响应于目标用户的授权请求，获取目标用户的用户信息以及申请的目标用户权限，根据用户信息调取目标用户的损失系数，根据目标用户权限从对照表中查询得到目标用户权限对应的标准损失值；根据损失系数及标准损失值预估目标用户使用目标用户权限所造成的期望损失值，并生成风险评估结果，使风险评估结果的准确性较高，且直观性较好。

Description

用户权限的风险评估方法、装置、计算机设备和存储介质

技术领域

本申请涉及到风险管控技术领域，特别是涉及到一种用户权限的风险评估方法、装置、计算机设备和存储介质。

背景技术

现有信息安全系统在审核员工终端特权的授权管理时，评估开通用户权限所带来的风险的方法主要通过了解行业内其他公司、或者根据安全咨询公司提供的最佳实践安全方案进行用户权限管理，受限于各公司的具体情况不同，此类方案容易脱离公司实际情况，造成用户权限管控策略与业务实际需求脱钩。

此外，现有采用用户权限的风险评估方法无法量化，使风险评估结果的准确性较低，直观性较差，审核用户难以直接根据评估结果作出决策。

发明内容

本申请的主要目的为提供一种用户权限的风险评估方法、装置、计算机设备和存储介质，旨在解决目前风险评估方法无法量化，使风险评估结果的准确性较低，直观性较差的技术问题。

为了实现上述发明目的，本申请提出一种用户权限的风险评估方法，包括：

获取各用户权限在历史使用中产生的损失事件及所述损失事件造成的损失值，将各用户权限下损失事件产生的损失值进行累加，得到累计损失值，并生成各用户权限与对应累计损失值的对照表；

响应于目标用户的授权请求，获取目标用户的用户信息以及申请的目标用户权限，根据所述用户信息调取目标用户的损失系数，根据所述目标用户权限从所述对照表中查询得到所述目标用户权限对应的标准损失值；其中，所述损失系数根据目标用户的历史损失事件及各历史损失事件造成的历史损失值计算得到；

根据所述损失系数及标准损失值预估所述目标用户使用所述目标用户权限所造成的期望损失值，根据所述期望损失值生成风险评估结果。

可选地，所述损失值包括安全入侵事件、信息泄露事件或法律风险事件造成的损失值；所述获取各用户权限在历史使用中产生的损失事件及所述损失事件造成的损失值的步骤之前，还包括：

收集各用户权限在历史使用中产生的安全入侵事件，根据所述安全入侵事件的入侵次数计算所述损失值；或

收集各用户权限在历史使用中产生的信息泄露事件，根据所述信息泄露事件的信息转发量及浏览量计算所述损失值；或

收集各用户权限在历史使用中产生的法律风险事件，根据所述法律风险事件产生的法律费用计算所述损失值。

可选地，所述根据所述损失系数及标准损失值预估所述目标用户使用所述目标用户权限所造成的期望损失值，根据所述期望损失值生成风险评估结果的步骤，包括：

根据所述目标用户的损失系数及标准损失值预估所述目标用户使用所述目标用户权限所产生的安全入侵事件、信息泄露事件及法律风险事件分别造成的期望损失值；

根据所述安全入侵事件、信息泄露事件及法律风险事件，分类对所述期望损失值进行统计并生成对应图标。

进一步地，所述根据所述损失系数及标准损失值预估所述目标用户使用所述目标用户权限所造成的期望损失值的步骤之后，还包括：

将所述目标用户权限的期望损失值换算成金额数值，根据所述金额数值及预置的安全预算计算得到损失投入比；其中，所述安全预算为用于维护用户权限正常使用的投入经费；

当所述损失投入比大于预设值时，限制目标用户使用所述目标用户权限，并将该目标用户权限的操作文本发送给所述目标用户。

在一实施例中，所述根据预置的目标用户权限的期望损失值及安全预算计算得到损失投入比之前，还包括：

获取所述目标用户权限在历史使用中产生的单次损失事件所造成的损失值及所述单次损失事件的在预设时间段内的发生概率；

根据所述损失值及在预设时间段内的发生概率计算得到所述安全预算。

可选地，所述当所述损失投入比大于预设值时的步骤之后，还包括：

提高所述目标用户权限的安全预算。

可选地，所述用户权限的风险评估方法还包括：

定期获取预设时间内产生的最新损失事件及所述最新损失事件造成的最新损失值；

根据所述最新损失事件及最新损失值更新所述对照表。

本申请还提供一种用户权限的风险评估装置，包括：

获取模块，用于获取各用户权限在历史使用中产生的损失事件及所述损失事件造成的损失值，将各用户权限下损失事件产生的损失值进行累加，得到累计损失值，并生成各用户权限与对应累计损失值的对照表；

计算模块，用于响应于目标用户的授权请求，获取目标用户的用户信息以及申请的目标用户权限，根据所述用户信息调取目标用户的损失系数，根据所述目标用户权限从所述对照表中查询得到所述目标用户权限对应的标准损失值；其中，所述损失系数根据目标用户的历史损失事件及各历史损失事件造成的历史损失值计算得到；

生成模块，用于根据所述损失系数及标准损失值预估所述目标用户使用所述目标用户权限所造成的期望损失值，根据所述期望损失值生成风险评估结果。

本申请还提供一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述任一项所述方法的步骤。

本申请还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述的方法的步骤。

本申请的用户权限的风险评估方法、装置、计算机设备和存储介质，通过为每个用户设定一个损失系数，用户的损失系数可用于评估用户使用用户权限的熟练度及造成的损失情况，用户申请权限时只需输入用户信息及所申请的目标用户权限，服务器结合目标用户权限的权限类型及用户的损失系数进行量化评估，得出直观易懂的期望损失值，并根据所述期望损失值生成风险评估结果，风险评估准确性较高，且直观性较好，极大地方便信息安全从业人员、业务部门、决策领导了解信息安全工作价值，为领导层在评估安全与业务冲突取舍时提供参考意见。此外，本申请同时可实现完全自动化审批，极大地解放了安全部门、法律合规部门的人力，帮助安全部门、法律合规部门从繁杂的授权审核工作中解放出来，节约人力成本。本申请还涉及区块链技术，所述各用户权限与对应累计损失值的对照表和各目标用户权限对应的期望损失值储存在区块链中。

附图说明

图1为本发明一个实施例中提供的用户权限的风险评估方法的实施环境图；

图2为本申请一实施例的用户权限的风险评估方法的流程示意图；

图3为本申请一实施例的用户权限的风险评估装置的结构示意框图；

图4为本申请一实施例的计算机设备的结构示意框图。

本申请目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

图1为一个实施例中提供的用户权限的风险评估方法的实施环境图，如图1所示，在该实施环境中，包括服务器及终端。其中，终端上安装有用户权限申请APP，用于发起用户权限申请请求、查看用户权限使用情况等功能，所述终端通过网络与服务器连接，实现与服务器的信息交互。其中，上述网络可以包括因特网、2G/3G/4G、wifi等。

需要说明的是，服务器可以是独立的物理服务器或终端，也可以是多个物理服务器构成的服务器集群，可以是提供云服务器、云数据库、云存储和CDN等基础云计算服务的云服务器。

所述终端可以是智能手机、平板电脑、笔记本电脑、台式机、智能音箱、智能手表等，但并不局限于此。

本申请实施例中提供的一种用户权限的风险评估方法，应用于服务器，以解决目前风险评估方法无法根据用户权限的实际使用情况制定风险评估策略，且无法量化，使风险评估结果的准确性较低，直观性较差的的技术问题，参照图2，一个实施例中，该用户权限的风险评估方法包括步骤：

S1、获取各用户权限在历史使用中产生的损失事件及所述损失事件造成的损失值，将各用户权限下损失事件产生的损失值进行累加，得到累计损失值，并生成各用户权限与对应累计损失值的对照表；

S2、响应于目标用户的授权请求，获取目标用户的用户信息以及申请的目标用户权限，根据所述用户信息调取目标用户的损失系数，根据所述目标用户权限从所述对照表中查询得到所述目标用户权限对应的标准损失值；其中，所述损失系数根据目标用户的历史损失事件及各历史损失事件造成的历史损失值计算得到；

S3、根据所述损失系数及标准损失值预估所述目标用户使用所述目标用户权限所造成的期望损失值，根据所述期望损失值生成风险评估结果。

如上述步骤S1所述，本申请获取并统计各用户权限在历史使用过程中所产生的所有损失事件，具体的，可收集用户的操作日志，根据各用户的操作日志得到各用户权限在历史使用过程中所产生的所有损失事件，所述操作日志可包括用户所使用的终端、用户所进行的数据操作、用户的权限、用户的操作失误次数、主动操作及被动反馈行为。然后查询各损失事件所造成的损失值，得到各用户权限下的各类损失事件的损失值。其中，损失值可以是虚拟货币、电子币等金额数值形式进行表示，还可以是信息泄漏数量、病毒入侵次数、审核出错次数等数值。

进一步地，将各类损失事件的损失值进行累计，得到各用户权限下的损失值，并生成对照表，以便后续查询，从而根据各用户权限下的损失值了解当前所有用户权限的损失严重性，如自助终端机在使用过程中造成的损失值，了解自助终端机的使用权限的损失严重性，以便对自助终端机的某些功能进行针对性改进。其中，该用户权限包括终端的使用权限、网址访问权限、登录权限或审核权限等，该损失事件可以是诸如访问网址时所产生的信息泄露事件、审核出错产生的经济损失事件。

例如，员工在使用银行系统的查账权限时，由于操作失误导致账单信息泄露，此时可根据账单信息泄露的数量计算相应的损失值，并统计公司在预设时间内账单信息泄露事件的总数，得到员工在使用银行系统的查账权限时造成的累计损失值，以对账单信息泄露事件进行量化评估，直观得到查账权限的损失严重性。

如上述步骤S2所述，本申请还进一步获取用户操作各用户权限过程中造成的历史损失事件，根据历史损失事件的次数及各历史损失事件造成的历史损失值设定用户的损失系数，损失系数可以用于评估每个用户的操作熟练度以及相应的用户权限损失情况。例如，可统计各用户在使用各用户权限造成的历史损失事件的数量以及各历史损失事件造成的历史损失值得到各用户的累计损失值，根据累计损失值确定用户的损失系数，该损失系数与累计损失值成正比，即当用户造成的损失事件次数越多和/或产生累计损失值越高，则该用户的损失系数就越大，后续该用户发起授权请求时，同一用户权限所计算得到的损失值会比其他用户高，以后续针对该用户制定个性化授权策略，实现为每个用户申请的用户权限进行量化评估，根据评估结果进行决策。例如，当用户A和用户B的损失事件次数相同，而用户A产生的累计损失值比用户B要多时，则用户A计算得到的损失系数大于用户B的损失系数，当用户A发起授权请求时，则需限制该用户A使用用户权限的某些功能，以减少损失。

如上述步骤S3所述，本申请根据目标用户的损失系数及标准损失值预估所述目标用户若使用目标用户权限将造成的期望损失值，根据所述期望损失值生成风险评估结果。例如，赋予所述用户与所述期望损失值相对应的访问控制权限或/和安全检查策略。当所述期望损失值降低时，可相应提高所述目标用户的访问控制权限，或/和降低对该用户的安全检查策略标准，从而降低了管理和维护的成本，并能够减少操作不规范的用户的访问量，可以从制度上规避一部分安全风险，同时可以规范用户的操作。

本申请的用户权限的风险评估方法，通过为每个用户设定一个损失系数，用户的损失系数可用于评估用户使用用户权限的熟练度及造成的损失情况，用户申请权限时只需输入用户信息及所申请的目标用户权限，服务器结合目标用户权限的权限类型及用户的损失系数进行量化评估，得出直观易懂的期望损失值，并根据所述期望损失值生成风险评估结果，风险评估准确性较高，且直观性较好，极大地方便信息安全从业人员、业务部门、决策领导了解信息安全工作价值，为领导层在评估安全与业务冲突取舍时提供参考意见。此外，本申请同时可实现完全自动化审批，极大地解放了安全部门、法律合规部门的人力，帮助安全部门、法律合规部门从繁杂的授权审核工作中解放出来，节约人力成本。

可选地，所述损失值可包括安全入侵事件、信息泄露事件或法律风险事件造成的损失值；在步骤S1中，所述获取各用户权限在历史使用中产生的损失事件及所述损失事件造成的损失值的步骤之前，还可包括：

在本实施例中，安全入侵事件有入侵次数作为经济损失的衡量数据，信息泄露事件有信息被转发浏览的数据量作为经济损失的衡量数据。本实施例可计算安全入侵事件产生的入侵次数计算安全入侵事件造成的损失值，信息泄露事件的信息转发量及浏览量计算信息泄露事件造成的损失值，法律风险事件可以产生的法律费用计算法律风险事件造成的损失值。此外，还可对这些数据进行分类、筛选、清除以及转换处理，得到相应的损失值，以根据相应的损失值制定相应的安全管控策略。例如，当安全入侵事件或信息泄露事件造成的损失值较高时，则进行数据泄露防护安装、弱密码账号、恶意网站访问、杀毒软件安装、终端高危漏洞、以及终端高风险软件的修复或清理，并提高系统的防火墙等级。

在实际应用中，当用户发起目标用户权限申请时，服务器获取用户的员工账号信息参数、申请权限信息参数，将安全入侵事件的损失值、信息泄露事件的损失值、法律风险事件的损失值计算汇总后得出该员工申请此类用户权限的总损失值，累计至此类用户权限的损失期望内，从而便于用户了解各类损失事件的损失情况，后续进行安全预算的精准投入。

可选地，在步骤S3中，所述根据所述损失系数及标准损失值预估所述目标用户使用所述目标用户权限所造成的期望损失值，根据所述期望损失值生成风险评估结果的步骤，可具体包括：

本实施例可将安全入侵事件、信息泄露事件及法律风险事件等各类损失事件造成的期望损失值进行分别统计，并以图标的形式生，如以柱状图的形式将各类损失事件造成的期望损失值进行显示，并在柱状图的相应位置文字标明授权结果，从而便于审核人员直观地得到各类损失事件的损失情况，以作出相应决策。

进一步地，在步骤S3中，所述根据所述损失系数及标准损失值预估所述目标用户使用所述目标用户权限所造成的期望损失值的步骤之后，还可包括：

本实施例对目标用户权限的期望损失值换算成金额数值时，可按预设比例进行换算，如当期望损失值为信息泄露事件的信息泄露数量时，可将信息泄露数量按照100：1的比例换算成金额数值，以根据前期设置的安全预算及目标用户权限的所述期望损失值计算得出损失投入比，以评估维护成本，来得出目标用户申请该类目标用户权限的授权建议和预计提高的量化风险，实现安全预算的精准投入。此外，本实施例可对目标使用权限的损失投入比大于预设值的目标用户进行限制，例如禁止对该目标用户使用目标用户权限或设定目标用户权限的使用时间，该目标用户只可在使用时间内使用。此外，对于损失投入比大于预设值的目标用户，还可将该目标使用权限的操作文本发送给目标用户，供目标用户参考。同时，实践中还可以对智能数据分析优化，对接大数据平台，输出用户权限申请记录，帮助安全优化权限管控策略，调整安全预算等。

在一实施例中，所述根据预置的目标用户权限的期望损失值及安全预算计算得到损失投入比之前，还可包括：

获取所述目标用户权限在历史使用中产生的单次损失事件所造成的损失值及所述损失事件的在预设时间段内的发生概率；

在本实施例中，可将历史平均单次发生的损失值乘于在预设时间段内的发生概率得到各用户权限的安全预算，其中，所述预设时间段内可以是一年，预设时间段内的发生概率可根据过去一年内用户权限发生损失事件的累计次数计算得到。

可选地，所述当所述损失投入比大于预设值时的步骤之后，还可包括：

提高所述目标用户权限的安全预算。

本实施例还可以对智能数据分析优化，对接大数据平台，输出用户权限申请记录，帮助安全优化权限管控策略，调整安全预算。例如，当计算得到损失投入比较高时，则需加大该目标用户权限的安全预算，以降低损失事件的发生。

可选地，所述用户权限的风险评估方法还可包括：

根据所述最新损失事件及最新损失值更新所述对照表。

在本实施例中，可定期获取预设时间内产生的最新损失事件及该最新损失事件造成的最新损失值，利用所述最新损失事件及最新损失值实时更新所述对照表，以后续利用对照表计算期望损失值时，提高计算得到的期望损失值的精确度。其中，安全入侵事件、信息泄露事件产生的损失值可无需更新，法律合规风险如因法律、法规变化导致服务中止、信息泄露的损失值仅需调整法律风险部分的年损失值，年安全预算变化仅需调整系统内各部门年安全预算，从而方便、快捷地更新对照表。

在一个实施例中，所述各用户权限与对应累计损失值的对照表和各目标用户权限对应的期望损失值储存在区块链中，并在接收到目标用户的授权请求时，对目标用户的用户信息以及申请的目标用户权限进行分析，然后对用户信息与目标用户权限进行深化处理，并将处理结果与风险评估结果进行拟合，并将目标用户权限匹配至拟合度最高的风险评估结果所在的区块链中，若处理结果与风险评估结果达到共识，则生效目标用户的授权请求，若处理结果与风险评估结果未达到共识，则完成用户权限的管理，最后将权限拟合结果分别反馈给用户和整个区块链管理，用于区块链管理数据库的存储，用于用户在后续重复的权限请求的结果的直接反馈，提高了用户权限请求的处理效率，提高了区块链的权限机制的有效使用。

如上所述，本申请在区块链网络中实现如上所述的一种用户权限的风险评估方法。区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain)，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。

区块链底层平台可以包括用户管理、基础服务、智能合约以及运营监控等处理模块。其中，用户管理模块负责所有区块链参与者的身份信息管理，包括维护公私钥生成(账户管理)、密钥管理以及用户真实身份和区块链地址对应关系维护(权限管理)等，并且在授权的情况下，监管和审计某些真实身份的交易情况，提供风险控制的规则配置(风控审计)；基础服务模块部署在所有区块链节点设备上，用来验证业务请求的有效性，并对有效请求完成共识后记录到存储上，对于一个新的业务请求，基础服务先对接口适配解析和鉴权处理(接口适配)，然后通过共识算法将业务信息加密(共识管理)，在加密之后完整一致的传输至共享账本上(网络通信)，并进行记录存储；智能合约模块负责合约的注册发行以及合约触发和合约执行，开发人员可以通过某种编程语言定义合约逻辑，发布到区块链上(合约注册)，根据合约条款的逻辑，调用密钥或者其它的事件触发执行，完成合约逻辑，同时还提供对合约升级注销的功能；运营监控模块主要负责产品发布过程中的部署、配置的修改、合约设置、云适配以及产品运行中的实时状态的可视化输出，例如：告警、监控网络情况、监控节点设备健康状态等。

更进一步地，区块链具有去中心化、开放性、独立性、安全性及匿名性的特点。去中心化，区块链技术不依赖额外的第三方管理机构或硬件设施，没有中心管制，除了自成一体的区块链本身，通过分布式核算和存储，各个节点实现了信息自我验证、传递和管理。去中心化是区块链最突出最本质的特征；开放性，区块链技术基础是开源的，除了交易各方的私有信息被加密外，区块链的数据对所有人开放，任何人都可以通过公开的接口查询区块链数据和开发相关应用，因此整个系统信息高度透明。独立性，基于协商一致的规范和协议(类似比特币采用的哈希算法等各种数学算法)，整个区块链系统不依赖其他第三方，所有节点能够在系统内自动安全地验证、交换数据，不需要任何人为的干预；安全性，只要不能掌控全部数据节点的51％，就无法肆意操控修改网络数据，这使区块链本身变得相对安全，避免了主观人为的数据变更；匿名性，除非有法律规范要求，单从技术上来讲，各区块节点的身份信息不需要公开或验证，信息传递可以匿名进行。

因此，本申请实施例的用户权限的风险评估方法，通过将对照表和各目标用户权限对应的期望损失值储存在区块链中，以方便调用，并防止数据被篡改，避免了主观人为的数据变更。

参照图3，本申请实施例中还提供一种用户权限的风险评估装置，包括：

获取模块1，用于获取各用户权限在历史使用中产生的损失事件及所述损失事件造成的损失值，将各用户权限下损失事件产生的损失值进行累加，得到累计损失值，并生成各用户权限与对应累计损失值的对照表；

计算模块2，用于响应于目标用户的授权请求，获取目标用户的用户信息以及申请的目标用户权限，根据所述用户信息调取目标用户的损失系数，根据所述目标用户权限从所述对照表中查询得到所述目标用户权限对应的标准损失值；其中，所述损失系数根据目标用户的历史损失事件及各历史损失事件造成的历史损失值计算得到；

生成模块3，用于根据所述损失系数及标准损失值预估所述目标用户使用所述目标用户权限所造成的期望损失值，根据所述期望损失值生成风险评估结果。

如上所述，可以理解地，本申请中提出的所述用户权限的风险评估装置的各组成部分可以实现如上所述用户权限的风险评估方法任一项的功能，具体结构不再赘述。

参照图4，本申请实施例中还提供一种计算机设备，该计算机设备可以是服务器，其内部结构可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设计的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于关系抽取模型、药物发现模型等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种用户权限的风险评估方法。

上述处理器执行上述的用户权限的风险评估方法，包括：

本申请一实施例还提供一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现一种用户权限的风险评估方法，包括步骤：

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的和实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双速据率SDRAM(SSRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。

综上所述，本申请的最大有益效果在于：

本申请的用户权限的风险评估方法、装置、计算机设备和存储介质，通过为每个用户设定一个损失系数，用户的损失系数可用于评估用户使用用户权限的熟练度及造成的损失情况，用户申请权限时只需输入用户信息及所申请的目标用户权限，服务器结合目标用户权限的权限类型及用户的损失系数进行量化评估，得出直观易懂的期望损失值，并根据所述期望损失值生成风险评估结果，风险评估准确性较高，且直观性较好，极大地方便信息安全从业人员、业务部门、决策领导了解信息安全工作价值，为领导层在评估安全与业务冲突取舍时提供参考意见。此外，本申请同时可实现完全自动化审批，极大地解放了安全部门、法律合规部门的人力，帮助安全部门、法律合规部门从繁杂的授权审核工作中解放出来，节约人力成本。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。

以上所述仅为本申请的优选实施例，并非因此限制本申请的专利范围，凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本申请的专利保护范围内。

Claims

1.一种用户权限的风险评估方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述损失值包括安全入侵事件、信息泄露事件或法律风险事件造成的损失值；所述获取各用户权限在历史使用中产生的损失事件及所述损失事件造成的损失值的步骤之前，还包括：

3.根据权利要求2所述的方法，其特征在于，所述根据所述损失系数及标准损失值预估所述目标用户使用所述目标用户权限所造成的期望损失值，根据所述期望损失值生成风险评估结果的步骤，包括：

根据所述目标用户的损失系数及标准损失值，预估所述目标用户使用所述目标用户权限所产生的安全入侵事件、信息泄露事件及法律风险事件分别造成的期望损失值；

4.根据权利要求1所述的方法，其特征在于，所述根据所述损失系数及标准损失值预估所述目标用户使用所述目标用户权限所造成的期望损失值的步骤之后，还包括：

5.根据权利要求4所述的方法，其特征在于，所述根据预置的目标用户权限的期望损失值及安全预算计算得到损失投入比之前，还包括：

6.根据权利要求4所述的方法，其特征在于，所述当所述损失投入比大于预设值时的步骤之后，还包括：

提高所述目标用户权限的安全预算。

7.根据权利要求1所述的方法，其特征在于，还包括：

根据所述最新损失事件及最新损失值更新所述对照表。

8.一种用户权限的风险评估装置，其特征在于，包括：

9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述用户权限的风险评估方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至7中任一项所述用户权限的风险评估方法的步骤。